Cisco dichtet teils kritische Sicherheitslücken ab
Cisco hat mehrere Schwachstellen primär in den Kommunikationslösungen gemeldet. Aktualisierungen bessern sie aus. Angreifer könnten etwa root-Rechte erlangen.
(Bild: Michael Vi/Shutterstock.com)
Für mehrere Kommunikationsprodukte aus dem Cisco-Portfolio hat der Hersteller Updates bereitgestellt, die teils kritische Sicherheitslücken schließen. IT-Verantwortliche, die betroffene Software einsetzen, sollten die bereitstehenden Aktualisierungen rasch einspielen.
Gravierende Sicherheitslücken
Eine kritische Schwachstelle findet sich in der Cisco Expressway-Serie und dem Cisco TelePresence Video Communication Server. Aufgrund unzureichender Eingabeprüfungen könnte ein sich Angreifer mit administrativen Lese- und Schreibrechten am System anmelden und manipulierte Eingaben an den betroffenen Befehl übergeben. So könnte er beliebige Dateien im unterliegenden Betriebssystem als root-Nutzer überschreiben und das System in logischer Konsequenz übernehmen (CVE-2022-20812, CVSS 9.0, Risiko "kritisch").
Zudem kann ein sogenanntes Null Byte Poisoning nicht angemeldeten Angreifern aus dem Netz ermöglichen, unbefugt auf sensible Daten zuzugreifen. Der Fehler basiert auf einer ungenügenden Zertifikatvalidierung, schreibt Cisco in der Sicherheitsmeldung zu dieser und der vorhergehenden Lücke (CVE-2022-20813, CVSS 7.4, hoch). Um die Lücke zu missbrauchen, könnte ein Angreifer mittels Man-in-the-Middle-Techniken Traffic zwischen Geräten abfangen und mit einem manipulierten Zertifikat den Endpunkt imitieren. Nach erfolgreichem Angriff könnte ein Angreifer den abgefangenen Verkehr im Klartext lesen oder etwa seinen Inhalt verändern.
In Ciscos Smart Software Manager in der lokal im Netzwerk installierten On-Premise-Version könnten bösartige authentifizierte Akteure aus dem Netz einen Denial-of-Service des Geräts provozieren. In der Sicherheitsmeldung erläutert der Hersteller, dass ein Angreifer durch den inkorrekten Umgang mit mehren gleichzeitigen Geräteregistrierungen mehrere Geräteregistrierungsanfragen an ein betroffenes Gerät senden und es so lahmlegen könnte (CVE-2022-20808, CVSS 7.7, hoch).
Noch mehr Schwachstellen
Cisco hat noch einige weitere Sicherheitsmeldungen zu Sicherheitslücken veröffentlicht. Sie sind nachfolgend nach absteigendem Schweregrad sortiert:
Cisco Unified Communications Products Arbitrary File Read Vulnerability (CVE-2022-20791, CVSS 6.5, mittel)
Cisco Unified Communications Products Access Control Vulnerability (CVE-2022-20859, CVSS 6.5, mittel)
Cisco Unified Communications Products Cross-Site Scripting Vulnerability (CVE-2022-20800, CVSS 6.1, mittel)
Cisco Unified Communications Products Cross-Site Scripting Vulnerability (CVE-2022-20815, CVSS 6.1, mittel)
Cisco Unified Communications Products Timing Attack Vulnerability (CVE-2022-20752, CVSS 5.3, mittel)
Cisco TelePresence Collaboration Endpoint and RoomOS Software Information Disclosure Vulnerability (CVE-2022-20768, CVSS 4.9, mittel)
Cisco Unified Communications Manager Arbitrary File Read Vulnerability (CVE-2022-20862, CVSS 4.3, mittel)
Administratoren sollten die verwundbare Software zügig auf den neuen Stand bringen, um so die Angriffsfläche so gering wie möglich zu halten.
(dmk)